GB-T 35274-2023信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求

代替GB/T35274—2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求Informationsecuritytech國家市場監(jiān)督管理總局發(fā)布國家標(biāo)準(zhǔn)化管理委員會I前言 12規(guī)范性引用文件 13術(shù)語和定義 14概述 35大數(shù)據(jù)組織管理安全能力 45.1策略與規(guī)程 45.2組織與人員 55.3資產(chǎn)管理 66大數(shù)據(jù)處理安全能力 76.1數(shù)據(jù)收集 76.2數(shù)據(jù)存儲 86.3數(shù)據(jù)使用 96.4數(shù)據(jù)加工 6.5數(shù)據(jù)傳輸 6.6數(shù)據(jù)提供 6.7數(shù)據(jù)公開 6.8數(shù)據(jù)銷毀 7大數(shù)據(jù)服務(wù)安全風(fēng)險管理能力 7.1風(fēng)險識別 7.2安全防護 7.3安全監(jiān)測 7.4安全檢查 7.5安全響應(yīng) 7.6安全恢復(fù) 參考文獻 Ⅲ本文件代替GB/T35274—2017《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》,與GB/T35274—a)刪除了數(shù)據(jù)生命周期、數(shù)據(jù)服務(wù)、數(shù)據(jù)交換、數(shù)據(jù)共享和重要數(shù)據(jù)(見2017年版的第3章)5個3章，2017年版的第3章)7個術(shù)語和定義的描述；b)刪除了總體要求(見2017年版的4.1)和要求分級(見2017年版的4.2),對標(biāo)準(zhǔn)整體內(nèi)容進行了梳理(見第4章，2017年版的4.3);c)刪除了服務(wù)規(guī)劃與管理(見2017年版的5.4)、數(shù)據(jù)供應(yīng)鏈管理(見2017年版的5.5)和合規(guī)性管理(見2017年版的5.6),修改了策略與規(guī)程、組織和人員以及資產(chǎn)管理安全能力要求(見和銷毀的數(shù)據(jù)處理過程明確了大數(shù)據(jù)服務(wù)提供者的大數(shù)據(jù)處理安全能力要年版的第6章);應(yīng)和安全恢復(fù)環(huán)節(jié)，規(guī)定了大數(shù)據(jù)服務(wù)提供者在大數(shù)據(jù)系統(tǒng)運營中的(見第7章);f)刪除了附錄A中(見2017年版的附錄A)。——2017年首次發(fā)布為GB/T35274—2017;1信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求本文件適用于指導(dǎo)大數(shù)據(jù)服務(wù)提供者的大數(shù)據(jù)服務(wù)安全能力建設(shè)，也適下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不GB/T5271(所有部分)信息技術(shù)詞匯GB/T25069—2022信息安全技術(shù)術(shù)語GB/T35295—2017信息技術(shù)大數(shù)據(jù)術(shù)語2據(jù)操作，形成數(shù)據(jù)資產(chǎn)的數(shù)據(jù)處理活動。將數(shù)據(jù)持久化保存在硬盤等存儲介質(zhì)中的數(shù)據(jù)處理活動。數(shù)據(jù)使用datausage依據(jù)數(shù)據(jù)權(quán)屬及收集和使用數(shù)據(jù)的目的和范圍，以及確定的授權(quán)和訪問控制策略，控制組織、人員或信息系統(tǒng)等主體對數(shù)據(jù)資產(chǎn)進行讀取、檢索、展示等操作的數(shù)據(jù)處理活動。數(shù)據(jù)加工dataprocessing數(shù)據(jù)處理活動。通過信息通信設(shè)備將數(shù)據(jù)從一個網(wǎng)絡(luò)節(jié)點傳送到一個或多個網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)處理活動。向組織內(nèi)其他責(zé)任主體或其他組織提供所控制的數(shù)據(jù)資產(chǎn)的數(shù)據(jù)處理活動。向其他組織、個人或指定范圍公開所控制的數(shù)據(jù)資產(chǎn)的數(shù)據(jù)處理活動，使其可合規(guī)地獲取所公開的數(shù)據(jù)。抹去或覆蓋存儲介質(zhì)中的數(shù)據(jù)或銷毀存儲介質(zhì)的數(shù)據(jù)處理活動。采用分布式存儲和計算技術(shù)，提供大數(shù)據(jù)處理功能，支持大數(shù)據(jù)應(yīng)用安全高效運行的軟硬件集3合，包括監(jiān)視數(shù)據(jù)輸入/輸出、控制數(shù)據(jù)處理活動等軟硬件基礎(chǔ)設(shè)施及其所控制的數(shù)據(jù)資產(chǎn)。由大數(shù)據(jù)平臺支撐，執(zhí)行數(shù)據(jù)處理活動，提供大數(shù)據(jù)服務(wù)的應(yīng)用系統(tǒng)。包括大數(shù)據(jù)平臺、大數(shù)據(jù)應(yīng)用及其所需和控制數(shù)據(jù)資產(chǎn)的信息系統(tǒng)。利用大數(shù)據(jù)技術(shù)開展數(shù)據(jù)處理，并通過底層大數(shù)據(jù)平臺和上層多種大數(shù)據(jù)應(yīng)用以服務(wù)方式為大數(shù)據(jù)使用者提供有價值的數(shù)據(jù)處理功能的活動。使用大數(shù)據(jù)系統(tǒng)的末端個人、組織及其他信息系統(tǒng)或智能終端設(shè)備。大數(shù)據(jù)服務(wù)提供者bigdataserviceprovider擁有大數(shù)據(jù)系統(tǒng)，提供大數(shù)據(jù)服務(wù)的組織。通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。實施適當(dāng)?shù)墓芾怼⒓夹g(shù)或物理手段，以防止未授權(quán)的有意或無意地泄露、修改或破壞數(shù)據(jù)的活動。在大數(shù)據(jù)服務(wù)中，數(shù)據(jù)處理涉及數(shù)據(jù)需求及供應(yīng)關(guān)系目的的上游與下游組織的數(shù)據(jù)資源及數(shù)據(jù)操作所形成的鏈接集。4概述本文件面向有大數(shù)據(jù)平臺、大數(shù)據(jù)應(yīng)用和大數(shù)據(jù)服務(wù)所需數(shù)據(jù)資源的組織，從大數(shù)據(jù)組織管理安全能力、大數(shù)據(jù)處理安全能力和大數(shù)據(jù)服務(wù)安全風(fēng)險管理能力三個方面規(guī)定了大數(shù)據(jù)服務(wù)提供者的大數(shù)4服務(wù)組織與人員的安全管理，以及大數(shù)據(jù)服務(wù)所需的數(shù)據(jù)資產(chǎn)與系統(tǒng)c)大數(shù)據(jù)服務(wù)安全風(fēng)險管理能力：按照大數(shù)據(jù)服務(wù)中數(shù)據(jù)業(yè)務(wù)流轉(zhuǎn)過程和數(shù)據(jù)處理活動安全保大數(shù)據(jù)服務(wù)提供者依據(jù)被保護數(shù)據(jù)資產(chǎn)和系統(tǒng)資產(chǎn)的重要性，以及大c)應(yīng)建立數(shù)據(jù)供應(yīng)鏈安全管控規(guī)程，以書面協(xié)議等方式與數(shù)據(jù)供應(yīng)鏈涉及上下游組織明確約定e)應(yīng)建立數(shù)據(jù)安全風(fēng)險評估和個人信息保護影響評估規(guī)程，制定應(yīng)對數(shù)據(jù)安全和個人信息保護5i)應(yīng)建立落實數(shù)據(jù)安全和個人信息保護法律法規(guī)及相關(guān)數(shù)據(jù)安全保護的責(zé)任考核制度，涉及敏b)應(yīng)列出重要崗位清單，包括能處理大量數(shù)據(jù)、處理重要數(shù)據(jù)或處理敏感個人信息等操作的崗d)應(yīng)按照大數(shù)據(jù)技術(shù)架構(gòu)和大數(shù)據(jù)服務(wù)業(yè)務(wù)安全建立大數(shù)據(jù)用戶授權(quán)策略和訪問控a)應(yīng)制定大數(shù)據(jù)服務(wù)人力資源管理安全策略，明確不同職能部門和安全崗位人員的權(quán)責(zé)和能力6d)應(yīng)建立人員數(shù)據(jù)安全責(zé)任管理機制，在其調(diào)離或終止勞動合同時將其所擁有的角色和責(zé)任移f)應(yīng)與所有涉及大數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議，人員調(diào)離或終止勞動合同時歸還組織a)應(yīng)制定數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全保護相關(guān)的教育培訓(xùn)計劃，每年組織開展全員數(shù)據(jù)安全教育7c)應(yīng)建立系統(tǒng)資產(chǎn)登記制度，形成系統(tǒng)資產(chǎn)清單，明確系統(tǒng)d)應(yīng)對涉及個人信息等數(shù)據(jù)獲取場景b)應(yīng)采取技術(shù)手段和管理措施對所獲取或清洗操作生成的數(shù)據(jù)進行保護，包括但不限于衍生數(shù)a)應(yīng)依照數(shù)據(jù)分類分級要求建立數(shù)據(jù)識別和標(biāo)記的操作規(guī)程；b)應(yīng)采用技術(shù)措施對收集的數(shù)據(jù)進行識別，并依據(jù)數(shù)據(jù)分類分級策略對收集數(shù)據(jù)的安全屬性進8b)應(yīng)具備對數(shù)據(jù)加載終端或加載服務(wù)組件等進行身份鑒別的能力；宜采取多因素身份鑒別技c)應(yīng)建立數(shù)據(jù)邏輯存儲安全管理操作規(guī)范，具備對數(shù)據(jù)分片和數(shù)據(jù)分布式存儲等邏輯存儲結(jié)構(gòu)d)應(yīng)提供技術(shù)措施使數(shù)據(jù)存儲架構(gòu)具備滿足不同技術(shù)架構(gòu)層次的加密存儲的能力；e)應(yīng)選擇適當(dāng)?shù)氖箶?shù)據(jù)存儲架構(gòu)實現(xiàn)容災(zāi)備份的能力；宜提供數(shù)據(jù)存儲本地和異地的容災(zāi)備份f)應(yīng)具備依據(jù)訪問頻率和數(shù)據(jù)時效性高低設(shè)計的數(shù)據(jù)分層存儲管理機制與技術(shù)，支持?jǐn)?shù)據(jù)9e)應(yīng)建立歸檔數(shù)據(jù)安全管理制度，定期采取技術(shù)手段和管控措施驗證歸檔數(shù)據(jù)的完整性和可用a)應(yīng)建立數(shù)據(jù)存儲時效性管控措施和操作規(guī)程，按照法律法規(guī)和主管部門的數(shù)據(jù)保存時長要求b)應(yīng)提供支持商用密碼算法集成的密鑰管理互操作性接口，宜建立多層存儲加密及密鑰管理的c)應(yīng)建立數(shù)據(jù)使用審計記錄和受保護的數(shù)據(jù)使用日志的分布式存儲機制和管控措施，具備對潛制機制，依據(jù)大數(shù)據(jù)技術(shù)架構(gòu)實施大數(shù)據(jù)使用者身份標(biāo)識與鑒別、存儲數(shù)據(jù)訪問授權(quán)等策b)應(yīng)利用大數(shù)據(jù)系統(tǒng)的分布式層次訪問控制技術(shù)實施大數(shù)據(jù)使用者身份標(biāo)識與鑒別、存儲數(shù)據(jù)d)應(yīng)建立訪問控制管控操作日志記錄及其審計日志數(shù)據(jù)的分布式存儲機制，具備對數(shù)據(jù)使用和要性和安全性；宜具備根據(jù)大數(shù)據(jù)使用者角色及授予的權(quán)限在大數(shù)據(jù)技術(shù)架構(gòu)不同層次自動a)應(yīng)建立分布式計算節(jié)點間安全連接策略和互操作規(guī)范，采用節(jié)點認(rèn)證等技術(shù)機制保證大數(shù)據(jù)b)應(yīng)建立分布式計算節(jié)點和用戶安全屬性的周期性確認(rèn)機制，保證預(yù)定義分布式計算安全策略d)應(yīng)建立分布式計算過程中不同節(jié)點的數(shù)據(jù)副本的更新檢測機制，保證數(shù)據(jù)副本的完整性和一e)應(yīng)建立分布式計算中數(shù)據(jù)泄露控制技術(shù)機制，包括但不限于數(shù)據(jù)分布式處理過程中的調(diào)試信c)應(yīng)建立大數(shù)據(jù)分析結(jié)果的安全風(fēng)險評估流程，控制基于大f)宜具備構(gòu)建大數(shù)據(jù)分析過程及數(shù)據(jù)血緣圖譜的能力，根據(jù)血緣關(guān)系對大數(shù)據(jù)分析數(shù)據(jù)及其衍c)應(yīng)明確需要進行密文計算的數(shù)據(jù)資產(chǎn)和密鑰管理技術(shù)機制，可自動或人工選擇相適應(yīng)的密碼d)應(yīng)支持在數(shù)據(jù)脫敏時保留其原始數(shù)據(jù)格式和特定屬性，以滿足基于脫敏數(shù)據(jù)的開發(fā)與利用服b)應(yīng)建立大數(shù)據(jù)系統(tǒng)中數(shù)據(jù)傳輸接口安全管理操作規(guī)范，包括建立跨安全域的數(shù)據(jù)安全傳輸相c)應(yīng)具備在構(gòu)建傳輸通道前對兩端主體身份進行標(biāo)識和鑒別的能力，以及在跨域傳輸數(shù)據(jù)前對傳輸雙方的數(shù)據(jù)安全級別進行評估的能力，避免將高安全等級數(shù)據(jù)傳輸?shù)降桶踩燃壍陌瞐)應(yīng)建立組織內(nèi)跨安全域數(shù)據(jù)提供安全操作規(guī)范，明確數(shù)據(jù)提供活動涉及的職能部門和崗位相b)應(yīng)審核組織內(nèi)跨安全域提供數(shù)據(jù)的應(yīng)用場景及其數(shù)據(jù)內(nèi)容，檢查數(shù)據(jù)接收方的數(shù)據(jù)使用和數(shù)e)應(yīng)在數(shù)據(jù)提供活動完成后對數(shù)據(jù)提供通道的緩存數(shù)據(jù)及相關(guān)臨時數(shù)據(jù)進行安全刪除。b)依法向其他組織提供其處理的個人信息時，應(yīng)向個人信息主體告知數(shù)據(jù)接收方據(jù)接收方按6.8的要求銷毀已接收的數(shù)據(jù)；e)應(yīng)督促和監(jiān)督數(shù)據(jù)接收方加強數(shù)據(jù)安全管理，發(fā)現(xiàn)其未落實合同規(guī)定要求和責(zé)任時督促數(shù)據(jù)接收方及時整改，必要時終止數(shù)據(jù)提供活動，并監(jiān)督數(shù)據(jù)接收方按6.8的要求銷毀已接收的g)應(yīng)具備對嵌入的第三方數(shù)據(jù)提供自動化工具進行安全監(jiān)測的能力，當(dāng)發(fā)現(xiàn)數(shù)據(jù)處理活動超出i)應(yīng)在委托處理、向其他組織提供、公開或向境外提供個人信息時，進行個人信息保護影響評j)應(yīng)在必要時對數(shù)據(jù)接收方的數(shù)據(jù)銷毀機制進行驗證，檢查跨組織數(shù)據(jù)提供服務(wù)到期后其在數(shù)b)應(yīng)建立數(shù)據(jù)發(fā)布的管理措施與機制，包括數(shù)據(jù)發(fā)布的方式、范圍，以及數(shù)據(jù)內(nèi)容審核及審批d)應(yīng)提供發(fā)布數(shù)據(jù)的數(shù)據(jù)訪問接口及數(shù)據(jù)格式規(guī)范，宜具備對敏感個人信息等自動識別和實時評估數(shù)據(jù)發(fā)布帶來的數(shù)據(jù)安全風(fēng)險，控制涉及重要數(shù)據(jù)、敏感個人信息等的數(shù)據(jù)的公開發(fā)a)應(yīng)建立組織外用戶在線訪問準(zhǔn)入準(zhǔn)則和公開數(shù)據(jù)在線訪問的授權(quán)操作規(guī)范與數(shù)據(jù)使用操作規(guī)b)應(yīng)建立組織外用戶在線訪問公開數(shù)據(jù)的數(shù)據(jù)使用責(zé)任追究技術(shù)機制，包括在線訪問中安全事c)應(yīng)建立公開數(shù)據(jù)在線訪問目錄庫和組織外用戶在線訪問公開數(shù)據(jù)的渠道，包括數(shù)據(jù)訪問接口e)應(yīng)采用自動和人工審計相結(jié)合的手段對在線訪問操作進行監(jiān)控和記錄；涉及對重要數(shù)據(jù)等高a)應(yīng)建立數(shù)據(jù)刪除安全操作規(guī)范，建立法律法規(guī)要求的重要數(shù)據(jù)或個人信息多級級聯(lián)刪除操作b)應(yīng)建立物理刪除和邏輯刪除的數(shù)據(jù)刪除方法和技術(shù)，明確不同類別和級別的數(shù)據(jù)刪除方式和d)應(yīng)在行政機構(gòu)、司法裁定等指定刪除數(shù)據(jù)時，或達到存儲g)應(yīng)監(jiān)督數(shù)據(jù)刪除操作及其刪除效果反饋的過程，包括已共享或者已被其他用戶使用的數(shù)據(jù)的c)應(yīng)按照法律法規(guī)和標(biāo)準(zhǔn)規(guī)范銷毀存儲介質(zhì)，使用經(jīng)認(rèn)證的物理銷毀設(shè)備或請具備資質(zhì)的單位c)應(yīng)具備基于數(shù)據(jù)安全風(fēng)險分級和按照國家數(shù)據(jù)分類分級相關(guān)制度對數(shù)據(jù)資產(chǎn)進行分類分級的d)應(yīng)針對應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施的大數(shù)據(jù)平臺提供定制化的數(shù)據(jù)處理和大數(shù)據(jù)系統(tǒng)運營的安g)應(yīng)定期自行開展或邀請第三方專業(yè)機構(gòu)開展數(shù)據(jù)安全風(fēng)險識別和風(fēng)險分析工作，按規(guī)定保存提供和數(shù)據(jù)獲取方式等技術(shù)或管理措施，使大數(shù)據(jù)系統(tǒng)中上下游組b)應(yīng)具備發(fā)現(xiàn)大數(shù)據(jù)服務(wù)中數(shù)據(jù)供應(yīng)鏈上下游組織網(wǎng)絡(luò)產(chǎn)品和服務(wù)的脆弱性和威脅的能力，包括根據(jù)適用法規(guī)和合同要求進行綜合分析并形成數(shù)據(jù)供應(yīng)鏈風(fēng)險分析c)應(yīng)向大數(shù)據(jù)服務(wù)中數(shù)據(jù)供應(yīng)鏈上下游的組織及時發(fā)布所識別的數(shù)據(jù)供應(yīng)鏈風(fēng)險及風(fēng)險應(yīng)對建d)應(yīng)基于主管部門的監(jiān)管要求，定期對數(shù)據(jù)供應(yīng)鏈上下游組織的數(shù)據(jù)處理活動中的數(shù)據(jù)安全風(fēng)c)應(yīng)制定區(qū)域邊界防護策略和規(guī)程的更新維護規(guī)則，并采用必要的手段或管控措施使更新后區(qū)d)應(yīng)在涉及重要數(shù)據(jù)和個人信息的跨組織的區(qū)域邊界訪問時，對應(yīng)用接口或服務(wù)接e)應(yīng)建立基于主客體屬性和區(qū)域邊界上下文的邏輯訪問控制措施及機制，實現(xiàn)跨區(qū)域邊界的大g)應(yīng)提供細(xì)粒度授權(quán)管理和訪問控制功能，如依據(jù)資產(chǎn)屬性和用戶屬性設(shè)置授權(quán)規(guī)則和訪問控a)應(yīng)制定數(shù)據(jù)供應(yīng)鏈中數(shù)據(jù)流轉(zhuǎn)操作安全管控策略，通過技術(shù)機制對大數(shù)據(jù)系統(tǒng)以及供應(yīng)鏈涉鑒別后協(xié)作完成，以及在程序自動進行高風(fēng)險數(shù)據(jù)操作時宜通過f)因業(yè)務(wù)確需向境外提供個人信息或重要數(shù)據(jù)時，應(yīng)在通過國家主管部門組織的數(shù)據(jù)出境安全c)應(yīng)具備對威脅情報數(shù)據(jù)的關(guān)聯(lián)分析能力，以及將威脅情報數(shù)據(jù)向大數(shù)據(jù)服務(wù)安全檢測防御規(guī)d)應(yīng)與專業(yè)機構(gòu)建立威脅情報數(shù)據(jù)共享機制，持續(xù)提高數(shù)據(jù)安全風(fēng)險和供應(yīng)鏈安全風(fēng)險應(yīng)對處a)應(yīng)建立數(shù)據(jù)處理活動及其數(shù)據(jù)操作服務(wù)接口的安全監(jiān)測措施，宜具備對數(shù)據(jù)處理活動及其數(shù)b)應(yīng)建立數(shù)據(jù)處理活動的監(jiān)測規(guī)則，能根據(jù)預(yù)定義的數(shù)據(jù)安全基線或閾值對數(shù)據(jù)處理活動異常行為進行告警，并展示數(shù)據(jù)處理活動發(fā)生的位置、操作以及數(shù)據(jù)處理活動的風(fēng)險及威脅等c)應(yīng)具備對數(shù)據(jù)處理過程和存儲數(shù)據(jù)使用與訪問進行監(jiān)測的能力，及時發(fā)現(xiàn)違規(guī)數(shù)據(jù)處理行d)應(yīng)建立針對重要數(shù)據(jù)和敏感個人信息流轉(zhuǎn)等敏感數(shù)據(jù)操作的監(jiān)測機制，并采取技術(shù)措施及時b)應(yīng)跟蹤和控制大數(shù)據(jù)服務(wù)相關(guān)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)及其數(shù)據(jù)訪問接口，及時終止不安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)組件運行，記錄并安全存儲監(jiān)控日志6個月以上，以滿足大數(shù)據(jù)服務(wù)安全審計c)應(yīng)對監(jiān)測累積的大數(shù)據(jù)服務(wù)監(jiān)測記錄進行關(guān)聯(lián)和分析，必a)應(yīng)定期對大數(shù)據(jù)系統(tǒng)的安全控制措施進行檢查，使所采取的安全措施覆蓋了不同級別的數(shù)據(jù)b)應(yīng)按照上級主管部門要求、專業(yè)安全機構(gòu)建議，定期安排或在爆發(fā)網(wǎng)絡(luò)攻擊、重大安全漏洞c)應(yīng)跟蹤數(shù)據(jù)安全和個人信息保護相關(guān)法律法規(guī)和管理規(guī)定，結(jié)合大數(shù)據(jù)系統(tǒng)運營中的數(shù)據(jù)安e)應(yīng)在獲得授權(quán)同意以及做好風(fēng)險管理和應(yīng)急預(yù)案等工作前提下，采取滲透性測試方式對數(shù)據(jù)a)應(yīng)制定安全事件歸因分析的數(shù)據(jù)溯源策略和安全管理機制，以及事件歸因溯源數(shù)據(jù)安全存儲e)應(yīng)對事件歸因的溯源數(shù)據(jù)進行備份或歸檔，并采取技術(shù)手段對重要數(shù)據(jù)和個人信息處理活動f)應(yīng)采取技術(shù)機制和管控措施保證事件歸因的溯源數(shù)據(jù)完整性，通過溯源數(shù)據(jù)能重現(xiàn)數(shù)據(jù)處理g)宜建立基于溯源數(shù)據(jù)的數(shù)據(jù)業(yè)務(wù)合規(guī)性審核機制，并依據(jù)審核結(jié)果改進大數(shù)據(jù)服務(wù)相關(guān)的訪a)應(yīng)建立重要數(shù)據(jù)和個人信息異常處理上報機制，當(dāng)重要數(shù)據(jù)或個人信息發(fā)生泄露、非法篡改等情況時，及時采取處置措施，并按規(guī)定及時告知用戶，形成安全事件報告報送相關(guān)主管部門；b)應(yīng)對涉及重要數(shù)據(jù)和個人信息的數(shù)據(jù)處理活動及其數(shù)據(jù)供應(yīng)鏈活動，按規(guī)定定期開展安全風(fēng)險評估，并向有關(guān)主管部門報送安全風(fēng)險信息，風(fēng)險評估報告包括處理的重要數(shù)據(jù)和個人信息的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等；c)應(yīng)針對安全監(jiān)測、安全檢查等風(fēng)險管理中發(fā)現(xiàn)的安全隱患，立即采取措施，將安全事件處置等形成的安全風(fēng)險信息，經(jīng)